一般情况下,经过ingress的请求会携带headerX-Real-IP,用户可根据header解析出真实访问IP。
特殊情况,用户请求可能经过多个nginx才达到ingress, 通过上述方法得到的并不是用户的真实IP。
request->nginx->…->ingress->backend
方案1 use-forwarded-headers
nginx-ingress官方的建议是开启use-forwarded-headers, 配置如下:
kind: ConfigMap
apiVersion: v1
metadata:
name: nginx-configuration
data:
compute-full-forwarded-for: 'true'
use-forwarded-headers: 'true'
方案2
这种方式确实可以起作用,但是有用户反馈开启后访问ingres后端服务一直报308,检查了ingress的代码开启use-forwarded-headers后会同时开启ssl-redirect导致308。
那么我们只需要开启nginx配置中的相关real-ip的配置,如下在http-snippet添加real_ip_header X-Forwarded-For;
kind: ConfigMap
apiVersion: v1
metadata:
name: nginx-configuration
data:
http-snippet: |
real_ip_header X-Forwarded-For;
set_real_ip_from 0.0.0.0/0;
golang中获取真实ip
func RemoteIP(r *http.Request) string {
ip := strings.TrimSpace(strings.Split(r.Header.Get("X-Original-Forwarded-For"), ",")[0])
if ip != "" {
return ip
}
ip = strings.TrimSpace(strings.Split(r.Header.Get("X-Forwarded-For"), ",")[0])
if ip != "" {
return ip
}
ip = strings.TrimSpace(r.Header.Get("X-Real-Ip"))
if ip != "" {
return ip
}
if ip, _, err := net.SplitHostPort(strings.TrimSpace(r.RemoteAddr)); err == nil {
return ip
}
return ""
}
注意事项
nginx-ingress configmap中的配置会是全局生效的,上线前需要严格测试。
评论(0)